為IPsec串連配置路由實現流量轉寄 - VPN Gateway

IPsec串連綁定轉寄路由器後，您還需要為IPsec串連配置本機資料中心的路由，來自轉寄路由器的流量進入IPsec串連後，IPsec串連將會通過查詢路由資訊向本機資料中心轉寄流量，以實現本機資料中心和轉寄路由器之間的流量互連。

背景資訊

本機資料中心通過IPsec-VPN串連接入轉寄路由器時，您需要在轉寄路由器側、IPsec串連側、本機資料中心側分別添加路由以實現本機資料中心和轉寄路由器之間流量互連。

配置路由時支援配置靜態路由或通過BGP（Border Gateway Protocol）動態路由協議自動學習路由。下表為不同配置方式下的路由配置清單。

路由配置方式	流量方向	轉寄路由器	IPsec串連	本機資料中心
靜態路由	去往本機資料中心	需為IPsec串連建立路由學習關係。轉寄路由器路由表與IPsec串連建立路由學習關係後，系統會將IPsec串連目的路由表中的路由自動傳播至轉寄路由器路由表中。更多資訊，請參見路由學習。	需要添加本機資料中心的路由。具體操作，請參見配置目的路由。	無需配置
靜態路由	去往轉寄路由器	需為IPsec串連建立關聯轉寄關係。轉寄路由器路由表與IPsec串連建立關聯轉寄關係後，系統會通過查詢轉寄路由器路由表中的路由資訊轉寄來自IPsec串連的流量。更多資訊，請參見關聯轉寄。	無需配置 IPsec串連預設將來自本機資料中心的流量轉寄至轉寄路由器中。	需要添加轉寄路由器側的路由，下一跳指向IPsec-VPN串連。
BGP動態路由	去往本機資料中心	需為IPsec串連建立路由學習關係。轉寄路由器路由表與IPsec串連建立路由學習關係後，系統會將IPsec串連BGP路由表中的路由自動傳播至轉寄路由器路由表中。更多資訊，請參見路由學習。	需要配置BGP動態路由協議。 BGP動態路由協議配置完成後，IPsec串連會自動學習到本機資料中心的路由，同時也會自動向本機資料中心傳播轉寄路由器側的路由。更多資訊，請參見配置BGP動態路由。	需要配置BGP動態路由協議。 BGP動態路由協議配置完成後，本機資料中心可以向IPsec串連傳播本機資料中心的路由，同時也可以自動學習到轉寄路由器側的路由。
BGP動態路由	去往轉寄路由器	需為IPsec串連建立關聯轉寄關係。轉寄路由器路由表與IPsec串連建立關聯轉寄關係後，系統會通過查詢轉寄路由器路由表中的路由資訊轉寄來自IPsec串連的流量。更多資訊，請參見關聯轉寄。需要為IPsec串連開啟路由同步功能。為IPsec串連開啟路由同步功能後，系統會自動向IPsec串連的BGP路由表中同步轉寄路由器路由表中的路由。更多資訊，請參見路由同步。

如何選擇路由配置方式

確定IPsec串連所屬地區是否支援BGP動態路由協議。如果IPsec串連所屬地區不支援BGP動態路由協議，則需要選擇靜態路由方式。

說明

對於不支援BGP動態路由協議的地區，如果該地區已經支援雙隧道模式的IPsec-VPN串連，則雙隧道模式IPsec-VPN串連預設支援使用BGP動態路由功能。如果您之前已經在該地區建立了單隧道模式的IPsec-VPN串連，則單隧道模式的IPsec-VPN串連依舊不支援BGP動態路由協議。

單擊查看支援BGP動態路由協議的地區。

地區	地區
亞太地區	華東1（杭州）、華東2（上海）、華北1（青島）、華北2（北京）、華北3（張家口）、華北5（呼和浩特）、華南1（深圳）、中國香港、日本（東京）、新加坡、馬來西亞（吉隆坡）、印尼（雅加達）
歐美地區	德國（法蘭克福）、英國（倫敦）、美國（維吉尼亞）、美國（矽谷）
中東	阿聯酋（杜拜）

確定本機資料中心網關裝置的支援情況。如果本機資料中心網關裝置支援BGP動態路由協議，您可以選擇使用BGP動態路由方式。如果本機資料中心網關裝置不支援BGP動態路由協議，則需要選擇靜態路由方式。
如果您的情境同時支援靜態路由和BGP動態路由方式，請參見以下資訊選擇一種路由配置方式。

路由配置方式

適用情境

配置難度

路由維護成本

靜態路由

適用於本機資料中心路由數量較少、路由變更不頻繁的情境。

易

中

如果本機資料中心側有路由變動，您需要在VPN網關側手動變更路由配置。

BGP動態路由

適用於本機資料中心路由數量相對較多、路由變更頻繁的情境。

易

低

如果本機資料中心側有路由變動，VPN網關側無需操作，BGP動態路由協議會依據BGP動態路由宣告原則實現路由的自動分發和學習。

路由配置建議

一個IPsec串連建議使用一種路由配置方式，不建議同時使用目的路由或BGP動態路由。
在使用雙隧道模式的IPsec-VPN串連時，推薦使用BGP動態路由方式。如果需要使用靜態路由方式，請確保本地網關裝置支援配置靜態ECMP路由，否則本機資料中心去往阿里雲的流量無法通過ECMP路徑進行傳輸，雲上的流量卻能通過ECMP路徑傳輸至本機資料中心，可能會導致流量的傳輸路徑不符合您的期望。
在使用雙隧道模式的IPsec-VPN串連時，推薦您按照以下原則為IPsec-VPN串連添加路由配置，以提高IPsec-VPN串連的穩定性：
- 對於一個IPsec-VPN串連下的兩條隧道，建議配置相同的路由協議，即僅為IPsec-VPN串連配置靜態路由協議或為兩條隧道同時配置BGP動態路由協議。
- 在IPsec-VPN串連配置BGP動態路由協議的情況下，兩條隧道的本端自治系統號需保持相同，兩條隧道對端的BGP AS號可以不相同，但建議保持相同

路由優先順序原則

如果IPsec連線路由表下存在路由衝突，各路由的優先順序如下表所示。

說明

路由優先順序從高到低依次為：P0>P1>P2>P3。

路由類別	IPsec連線路由優先順序
明細路由	P0
系統路由	P1
動態路由（BGP路由）	P2
靜態路由（目的路由）	P3

配置路由

配置目的路由

配置目的路由時，需要指定目標網段和下一跳資訊，IPsec串連將基於流量的目的IP地址去匹配目的路由，然後根據流量匹配到的目的路由轉寄流量。

前提條件

IPsec串連需已綁定轉寄路由器執行個體。支援以下兩種方式建立綁定關係：

可在建立IPsec串連時直接綁定轉寄路由器執行個體。具體操作，請參見建立和管理IPsec串連（單隧道模式）。
如果您已經建立了未綁定任何資源的IPsec串連，可在雲企業網管理主控台建立IPsec串連和轉寄路由器的綁定關係。具體操作，請參見建立VPN串連。
說明
如果IPsec串連已綁定VPN網關執行個體，則不再支援綁定轉寄路由器執行個體。

使用限制

不支援添加目標網段為0.0.0.0/0的目的路由。
請勿添加目標網段為100.64.0.0/10、100.64.0.0/10下的子網段或者包含100.64.0.0/10網段的目的路由，該類路由條目會導致控制台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。
建立雙隧道模式的IPsec-VPN串連時，添加目的路由後，僅在隧道的串連狀態為第二階段協商成功時，系統才會把目的路由傳播至轉寄路由器路由表中。

目的路由匹配原則

IPsec串連在轉寄流量時，預設按照最長掩碼匹配原則為流量匹配目的路由。

配置步驟

添加目的路由

登入VPN網關管理主控台。
在頂部功能表列，選擇IPsec串連的地區。
在IPsec串連頁面，找到目標IPsec串連，單擊IPsec串連ID。
在目的路由表頁簽，單擊添加路由條目。
在添加路由條目面板，根據以下資訊配置目的路由，然後單擊確定。
配置
說明
目標網段
輸入本機資料中心側的網段。
下一跳類型
選擇IPsec串連。
下一跳
選擇IPsec串連執行個體。

刪除目的路由

登入VPN網關管理主控台。
在頂部功能表列，選擇IPsec串連的地區。
在IPsec串連頁面，找到目標IPsec串連，單擊IPsec串連ID。
在目的路由表頁簽，找到目的路由，在操作列單擊刪除。
在刪除路由條目對話方塊，單擊確定。

配置BGP動態路由

BGP是一種基於TCP協議的動態路由協議，主要應用於不同自治系統間交換路由資訊和網路可達資訊。您需要在IPsec串連側和本機資料中心側分別添加BGP配置，使IPsec串連和本機資料中心之間建立BGP鄰居關係，雙方建立BGP鄰居關係後，可以自動學習對方的路由，降低網路維護成本和網路設定風險。

BGP動態路由宣告原則

IPsec串連和本機資料中心BGP動態路由配置完成後，BGP路由宣告原則如下：

雲下到雲上方向
本機資料中心在BGP路由協議中宣告本地的路由後，本機資料中心路由將通過BGP動態路由協議被自動傳播至雲上IPsec串連。在IPsec串連和轉寄路由器路由表建立路由學習關係後，系統會自動將IPsec串連BGP路由表下的路由傳播至轉寄路由器路由表中。
雲上到雲下方向
在轉寄路由器側為IPsec串連開啟路由同步功能後，系統會將轉寄路由器路由表下的路由傳播至IPsec串連BGP路由表中，IPsec串連會自動將BGP路由表下的路由傳播至本機資料中心。

BGP使用限制

單個IPsec串連的BGP路由表預設支援的路由條目數為50條。如需提升配額，請提交工單。
請勿通過BGP動態路由協議向IPsec串連傳播100.64.0.0/10網段、100.64.0.0/10網段下的子網段或者包含100.64.0.0/10網段的路由，該類路由條目會導致VPN網關管理主控台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。
IPsec串連綁定轉寄路由器執行個體後，本地網關裝置和轉寄路由器執行個體之間支援通過BGP動態路由傳播目標網段為0.0.0.0/0的路由條目。
如果您使用物理專線和IPsec串連以主備的方式將本機資料中心接入轉寄路由器，為避免本機資料中心網路路由震蕩，請確保邊界路由器和IPsec串連配置的本機資料中心的自治系統號一致。

BGP動態路由配置步驟

在使用者網關執行個體下指定本機資料中心的自治系統號。具體操作，請參見建立和系統管理使用者網關。
- 如果建立使用者網關時，您未指定本機資料中心的自治系統號，需刪除使用者網關重新建立。
- 使用者網關建立完成後不支援修改，如果您需要修改本機資料中心的自治系統號，請刪除使用者網關重新建立。

為IPsec串連開啟BGP功能，並添加BGP動態路由配置。具體操作，請參見建立和管理IPsec串連（單隧道模式）。

下表僅列舉BGP動態路由強相關的內容。

重要

IPsec串連的路由模式推薦使用目的路由模式。

配置項	說明
使用者網關	選擇包含本機資料中心自治系統號的使用者網關執行個體。
啟用BGP	選擇開啟BGP功能。
本端自治系統號	輸入隧道本端的自治系統號。預設值：45104。自治系統號取值範圍：1~4294967295。支援按照兩段位的格式進行輸入，即：前16位位元.後16位位元。每個段位使用十進位輸入。例如輸入123.456，則表示自治系統號：123*65536+456=8061384。
隧道網段	輸入隧道的網段。隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。說明一個IPsec串連下兩個隧道的隧道網段不能相同。
本端BGP地址	輸入隧道本端的BGP IP地址。該地址為隧道網段內的一個IP地址。

VPN Gateway：配置IPsec連線路由